Acusan filtración de nombre completo, dirección, CURP, fecha de nacimiento y padecimientos médicos de 20 millones de pensionados del IMSS

CIUDAD DE MÉXICO.-Una alerta de ciberseguridad ha sido emitida para los aproximadamente 20 millones de pensionados del Instituto Mexicano del Seguro Social (IMSS). Información personal sumamente sensible, que incluye nombres, direcciones, CURP, Número de Seguridad Social y padecimientos médicos, está siendo ofrecida a la venta en la dark web, el sector de internet que permite el anonimato. El precio reportado por esta base de datos masiva es de 50,000 pesos, dice el medio El Universal.

¿Qué está pasando exactamente?

De acuerdo con Ignacio Gómez Villaseñor, periodista especializado en ciberseguridad, el grupo de hackers conocido como Sc0rp10nn es el responsable del robo de datos. Este grupo confirmó al periodista que la información está a la venta y que incluso la ofrecen “al mejor postor”. La fecha de la vulneración se remonta al 9 de agosto, y la base de datos filtrada tiene un tamaño de 1.4 gigabytes, lo que coincide con la magnitud de los registros de los pensionados.

Expertos de la empresa NEKT Group, como Manuel Rivera, corroboraron la existencia de la venta y realizaron una “prueba de vida” de la base de datos, confirmando que la información coincide con los registros del IMSS.

¿Qué información se filtró y por qué es tan grave?

La filtración contiene datos que convierten a los pensionados en blancos fáciles para una variedad de delitos:

• Información de identificación: Nombre completo, dirección, CURP, fecha de nacimiento, Número de Seguridad Social.
• Información de salud: Padecimientos médicos, tipo de sangre, historial clínico.

Gómez Villaseñor advierte que esta combinación de datos es un “cóctel para realizar fraude y extorsión”. Los riesgos específicos incluyen:

1. Suplantación de identidad: Para abrir cuentas bancarias, solicitar créditos o cometer fraudes.
2. Extorsión telefónica o digital: Los delincuentes pueden contactar a los pensionados, citando sus enfermedades o datos personales para amedrentarlos y exigir dinero.
3. Robo de recursos financieros: Acceder a cuentas bancarias o afores.
4. Tráfico de órganos: El tipo de sangre y las condiciones de salud son información valiosa para estas redes criminales.

La respuesta del IMSS: Negativa al “hackeo” pero admisión de filtración interna

En un posicionamiento solicitado por El Universal, el IMSS negó que sus bases de datos hubieran sido “pirateadas” o hackeadas directamente. Sin embargo, en una declaración, el Instituto informó sobre “una posible filtración por el uso indebido de acceso a información institucional por parte de personal”.

Esto sugiere que la fuga pudo haber sido causada por alguien con acceso autorizado a los sistemas que hizo un mal uso de sus credenciales. El IMSS asegura que colabora con las autoridades para investigar el caso y aplicar sanciones, y defiende que sus sistemas cuentan con mecanismos robustos de seguridad.

Un problema recurrente: El IMSS y la ciberseguridad

Este incidente no es aislado. Expertos consultados por El Universal señalan que el IMSS ha sufrido múltiples vulneraciones en 2025:

• Mayo de 2025: Se filtró una base de datos de 31 gigabytes organizada por estados.
• Junio de 2025: Se reportó una filtración de 56 millones de registros de derechohabientes (que puede incluir datos de personas fallecidas, pero también de sus beneficiarios).
• Hackeo a IMSS Bienestar: También se filtraron 4.7 gigabytes de datos de médicos que aplicaron a una vacante en San Luis Potosí, incluyendo currículums, análisis médicos e información personal sensible.

Víctor Ruiz, fundador de Silikn, atribuye estos problemas a que el IMSS carece de sistemas actualizados, personal especializado en ciberseguridad y un departamento dedicado a responder a estos ataques de forma efectiva.

¿Cómo se venden estos datos en la dark web?

Contrario a lo que se podría pensar, el acceso a esta información no es extremadamente costoso. Los hackers suelen vender las bases de datos por unos cuantos miles de pesos, lo que facilita que cualquier delincuente pueda adquirirlas. Incluso ofrecen “consultas específicas”, es decir, vender solo los datos de una persona en particular.

Te puede interesar: IMSS brindará consulta médica remota a mexicanos afiliados que residen en el extranjero

Recomendaciones para los pensionados del IMSS

Dado que los datos ya están comprometidos, es crucial extremar precauciones:

1. Desconfía de llamadas o mensajes: No proporciones información personal o bancaria por teléfono, SMS o correo electrónico, incluso si la persona que contacta menciona tus datos o padecimientos.
2. Verifica la fuente: Si recibes una comunicación supuestamente del IMSS, cuelga y contacta directamente al Instituto a través de sus números oficiales para confirmar.
3. Monitoriza tus cuentas: Revisa frecuentemente los estados de cuenta de tu banco y Afore para detectar cargos no reconocidos.
4. Activa alertas bancarias: Configura notificaciones para todas las transacciones.
5. No hagas clic en enlaces sospechosos: En correos o mensajes que aleguen ser del IMSS, especialmente si piden actualizar datos.

La venta de datos de los pensionados del IMSS en la dark web representa una amenaza real y grave para la seguridad de millones de mexicanos. Aunque el IMSS atribuye la filtración a un posible mal uso interno y no a un hackeo externo masivo, el resultado es el mismo: la información personal y de salud está en manos de criminales.